fix template

Use update-ca-certificates to update ca-global on stretch and later

Give us longer to notice degraded boot

only run /usr/local/sbin/update-ca-certificates-dsa if it exists

Allow debadmin to sudo to codesign

Make salsa.d.o the default ssl vhost on godard so lame clients can get to it

Apparently bzr still doesn't do SNI
(https://salsa.debian.org/salsa/support/issues/90)

Comment out rate-limiting of https traffic on security-tracker

Increase https bandwidth for security-tracker

Keep things cached for at least 10min

Fix apache module name

Use mod_cache_disk on security-tracker

Fix typo in comment

drop things from 66.170.99.[12]

fix rule

disable deflate on security-tracker.  we are cpu bound

do some basic traffic shaping on soriano

enable expires module for security-tracker

move apache config for security-tracker.debian.org.conf to puppet

Kill planet.debian.net (RT#7019)

The git user's sudo entries should be NOPASSWD (RT#7316)

fix rule name

snapshot - drop traffic from 61.69.254.110

Also give the git user sudo access to salsa-* on godard (RT#7316)

More users for salsa (RT#7316)

Add registry.salsa.debian.org vhost config (RT#7316)

unicamp renumbering

remove parth, re: RT#7334

setup-all-dchroots: wheezy is gone, jessie is limited to LTS architectures

get arm-arm-01 out of broken_rtc set

HW's been replaced

Install ganeti-reboot-cluster

Update my home ip ranges yet again

set Expires to 1 week also for .gz files

Enable HTTP/2 on sources.d.o

http rate limiting for dynamic hosts also on v6

snapshot: allow 6 requests per minute even to clients that we think are excessive

snapshot_web dynamic rules

snapshot_web dynamic rules

Drop apache2deb9 variable

All our apaches are stretch at this point.

Add data-protection@d.o to various exim config bits

port 6081 should be allowed via snapshot

try apache rate limiting on snapshot hosts, 2

try apache rate limiting on snapshot hosts

add template

parts of the nagios setup

nagios: install some packages and define service

debian nagios service does not use digest auth

nagios: we do not need proxy_http

add apache::authn_anon and apache::auth_digest

nagios master: apache vhost

start using nagios::server again, move cert setup there

remove obsolete stuff from nagios::server

restart stale icinga automatically

wider regex for clearing failed rsyncd service to catch rsyncd-snapshot-farm@

ignore ruby-dbi ruby-deprecated ruby-dbd-pg on snapshot hosts

ignore ruby-dbi ruby-deprecated ruby-dbd-pg on snapshot hosts

set expires: headers on alioth-archive

Add a few pointers on the anonscm index page

index page for anonscm, 2

index page for anonscm

put an /srv/anonscm.debian.org/htdocs in place

vhost cleanup

vhost update

non-SSL is on 80

Use anonscm.map

try to put anonscm.map onto host, 3

try to put anonscm.map onto host, 2

try to put anonscm.map onto host

prepare anonscm vhost

set hsts on snapshot

Try to put haproxy on snapshot hosts

Add a logging device for haproxy

Add haproxy module from tor

a haproxy facter

More verbose setup-all-dchroots when run in a terminal

install snapshot cert

sallinen: retire 443->5473 dnat

Fetch sallinen.debian.org snapshot backups from port 5473

pg ssh auth: danzi: remove read for sibelius; lw07: switch read sibelius to read sallinen; sallinen: remove read sibelius

backup sallinen pg

sallinen has a pg server

pg firewalling

add lw07 to snapshot_web group

start varnish only after network is online

Try an network_online target for stretch hosts

And setup ferm, 2

And setup ferm

add -j unix,user=vcache -F to varnishd call

and use array for listening ports

varnish on stretch now takes several -a arguments instead of one with multiple addresses

sallinen varnish, 2

sallinen varnish

a very basic generic varnish module

rename varnish to varnish_pkgmirror module

rename varnish to varnish_pkgmirror module

allow archvsync to trigger snapshot imports

block mails from @qq.com

Signed-off-by: Martin Zobel-Helas <zobel@debian.org>

fix kanboard role (php wants mpm_prefork)

add a kanboard role

kanboard group members can run stuff as kanboard on kantuser

Fixup previous commit, log directory permissions were already defined

Signed-off-by: Aurelien Jarno <aurelien@aurel32.net>